[devel] права 700 на /lib/modules.

Anton Farygin =?iso-8859-1?q?rider_=CE=C1_altlinux=2Ecom?=
Пн Май 8 09:30:04 MSD 2006


Dmitry V. Levin wrote:
> On Sun, May 07, 2006 at 11:50:29PM +0400, Anton Farygin wrote:
>> Dmitry V. Levin wrote:
>>> On Sat, May 06, 2006 at 08:56:36PM +0400, Anton D. Kachalov wrote:
>>>> On Sat, May 06, 2006 at 02:36:48PM +0300, Michael Shigorin wrote:
>>>>>> ИМХО это только ухудшает ситуацию. Допустим, я хочу
>>>>>> поэксперементировать с initrd. Что бы мне вызвать mkinird мне
>>>>>> нужно sudo(или подобное), что потенциально более опасно. Может
>>>>>> всё ж сделаем 755?
>>>>> Если делать, то контролируемым.
>>>> Ага. Очень весело, когда хэшером развернул чрут, а потом снаружи фиг
>>>> доберёшься до /lib/modules или /boot, что иногда сильно достаёт.
>>> Это мелочи.  Имеет место быть неразрешимая на вид проблема, которую
>>> в очередной раз поставили в этом треде: выдача пользователям доступа
>>> на чтение к модулям ядра одновременно даёт этим пользователям возможность
>>> DoS'ить insmod/modprobe.
>> Так для новых ядер это просто исправляется. А для старых можно 
>> понаписать всяких trigger'ов. или post-script'ов
> 
> Антон, прочти внимательнее:
> Выдача пользователям доступа на чтение к модулям ядра одновременно даёт
> этим пользователям возможность DoS'ить insmod/modprobe.

Я прочёл внимательно. Предлагается выдавать права 755 к 
/lib/modules/2.6.16-std26-up-alt4/build для пользователя, но 700 на всё 
остальное содержимое (кроме pcimap)

Тогда DOS будет невозможен а огромная масса скриптов сторонних 
разработчиков заработает.


Rgds,
Rider



Подробная информация о списке рассылки Devel